В этой статье пойдет речь о 6 популярных западных решениях для среднего и малого бизнеса. Читатели узнают, как можно надежно построить Zero Trust Network.
Введение
Когда цифровым активам компании приходится преодолевать большие расстояния по небезопасным путям Интернета, ставки настолько высоки, что нельзя доверять ничему и никому. Именно в целях безопасности стоит использовать Zero Trust Network, чтобы ограничить доступ всех пользователей к сетевым ресурсам.
В сетях с нулевым доверием («Zero Trust Network») любая попытка доступа к ресурсу ограничивается пользователем или устройством, независимо от того, обращались ли они ранее к одному и тому же ресурсу. Все должны проходить процесс аутентификации и проверки, чтобы получить доступ к ресурсам, даже если они физически находятся в самой организации. Подобные проверки подлинности должны быть быстрыми, чтобы принятые политики безопасности не ухудшали скорость работы приложений и не влияли пагубно на продуктивность пользователей.
Zero Trust Network VS VPN
Сетевая модель с нулевым доверием способна заменить модель VPN, традиционно используемую компаниями для удаленного доступа своих сотрудников к цифровым активам. VPN не всегда идеален, потому что у него есть серьезный недостаток, который с легкостью устраняет Zero Trust Network. В VPN любое нарушение, которое происходит в зашифрованном канале, соединяющем пользователя с сетью организации, предоставляет потенциальным злоумышленникам неограниченный доступ ко всем ресурсам, хранящимся в цифровом виде.
В старых локальных инфраструктурах VPN работали хорошо. Однако они создают гораздо больше рисков, чем решения в облачных или смешанных инфраструктурах.
Zero Trust Network устраняет недостаток, который есть у VPN. Однако она имеет другую проблему: есть сложности с точки зрения внедрения и обслуживания сети, поскольку разрешения должны обновляться для всех пользователей, устройств и ресурсов одновременно. Это потребует от сетевого администратора дополнительной работы, но именно таким образом ИТ-отделы смогут добиться большего контроля над ресурсами и уменьшения уязвимой поверхности сети.
К счастью, преимущества Zero Trust Network могут быть реализованы без дополнительных усилий по обслуживанию и развертыванию благодаря инструментам, которые автоматизируют и помогают в задачах администрирования сети. Ниже представлены 6 популярных западных решений для среднего и малого бизнеса.
1. Perimeter 81
Perimeter 81 предлагает пользователям два подхода к управлению и обеспечению безопасности приложений и сетей организации как в облачных, так и в локальных средах. Все начинается с применения Zero Trust Network в качестве сервиса. Для этого Perimeter 81 использует программно-определяемую архитектуру, которая обеспечивает большую гибкость для новых пользователей и огромную видимость сети. Кроме того, сервис совместим с основными поставщиками облачных инфраструктур.
Zero Trust Application Access основан на предположении, что у каждой компании есть критические приложения и службы, к которым большинству пользователей доступ не нужен. Сервис позволяет создавать барьеры для конкретных пользователей на основе их ролей, устройств, местоположений и других идентификаторов.
Между тем, Zero Trust Network Access осуществляет сегментацию сети организации по зонам доверия, что позволяет создавать ограничения, с помощью которых контролируется поток данных. Доверенные зоны состоят из наборов элементов инфраструктуры и ресурсов, которые работают на одном уровне доверия и обеспечивают аналогичную функциональность. Это сокращает количество каналов связи и сводит к минимуму возможность угроз в будущем.
Zero Trust Network Access предоставляет организации полное и централизованное управление сетью, обеспечивая наименее привилегированный доступ для соответствующих его членов. Политики безопасности Perimeter 81 соответствуют модели SASE Gartner, поскольку защита соединения и управление сетью объединены на единой платформе.
Различные возможности сервиса включены в систему ценообразования. Функционал варьируется от базового плана только с необходимыми элементами для обеспечения безопасности и управления сетью до корпоративного плана, который может неограниченно масштабироваться и имеет поддержку команды разработчиков 24/7.
2. ZScaler Private Access
ZScaler Private Access (ZPA) – это облачная сетевая служба с нулевым доверием, которая контролирует доступ к частным приложениям организации, независимо от того, находятся ли они в центре обработки данных или в общедоступном облаке. ZPA делает приложения полностью невидимыми для неавторизованных пользователей.
В ZPA соединение между приложениями и пользователями осуществляется в соответствии с внутренними политиками. Вместо того, чтобы расширять сеть для добавления пользователей (как это должно быть сделано при применении VPN), люди никогда не находятся внутри нее. Таким образом, ZScaler Private Access значительно минимизирует риски, избегая распространения вредоносных программ и появления рисков бокового перемещения. Кроме того, область применения ZPA не ограничивается только веб-приложениями, а также включает в себя любые иные инструменты и программы.
ZPA использует технологию микротоннелей, которые позволяют сетевым администраторам сегментировать сеть по приложениям, избегая необходимости применять дополнительные политики безопасности межсетевого экрана. Микротоннели используют шифрование TLS и секретные ключи, которые повышают безопасность при получении доступа к корпоративным приложениям.
Благодаря новым возможностям API и ML (машинного обучения) ZPA позволяет ИТ-отделам автоматизировать механизмы нулевого доверия. Таким образом, можно создавать для приложений свои политики доступа, а также автоматически осуществлять сегментацию для каждой рабочей нагрузки.
3. Cloudflare Access
Сетевая служба с нулевым доверием Cloudflare имеет собственную сеть с точками доступа, разбросанными по всему миру. Это позволяет ИТ-отделам обеспечивать высокоскоростной и безопасный доступ ко всем ресурсам организации — устройствам, сетям и приложениям.
Сервис Cloudflare заменяет традиционные, ориентированные на сеть периметры безопасности, используя вместо этого безопасный доступ с близкого расстояния, что обеспечивает оптимальную скорость для выбранных рабочих групп.
Cloudflare’s zero-trust access управляет всеми приложениями в организации, аутентифицируя пользователей через собственную глобальную сеть. Это позволяет ИТ-менеджерам записывать каждое событие и каждую попытку получения доступа к ресурсу. Кроме того, данный сервис упрощает способы общения с уже имеющимися пользователями и добавление новых.
С помощью Cloudflare Access организация может выбрать свою идентичность, поставщиков защиты, положение устройства; установить требования к местоположению для каждого приложения и даже определить облачную инфраструктуру. Для контроля идентификации Cloudflare интегрируется с Azure AD, Okta, Ping, а также может быть связан с Tanium, Crowdstrike и Carbon Black.
Cloudflare имеет бесплатную версию, которая включает в себя основные инструменты и позволяет защитить до 50 пользователей и приложений. Если человеку нужно масштабировать сервис, то можно приобрести платную версию. Помимо масштабирования она включает в себя поддержку со стороны разработчиков в режиме реального времени.
4. Wandera Private Access
Сетевое решение с нулевым доверием Wandera Private Access обеспечивает быстрый, простой и безопасный удаленный доступ к приложениям организации, независимо от того, работают ли они в SaaS или развернуты внутри организации. Сервис отличается своей простотой настройки, которая может быть выполнена за считанные минуты и не требует специального оборудования, сертификатов или калибровки.
Wandera Private Access предоставляет пользователю гибкость для распределенных групп, работающих на гетерогенных платформах, с управляемыми или принадлежащими устройствами (BYOD). Решение обеспечивает видимость доступа к приложениям в режиме реального времени, идентификацию теневых программ и автоматическое ограничение доступа с зараженных или небезопасных устройств благодаря применению политик доступа.
С помощью Wandera Private Access можно реализовать модели безопасности, ориентированные на идентификацию пользователя, гарантируя, что только авторизованные юзеры смогут подключиться к приложениям организации. Использование микротоннелей позволяет пользователям подключаться только к тем приложениям, доступ к которым им разрешен. Применение политик безопасности остается согласованным во всех инфраструктурах, будь то облако, центр обработки данных или приложения SaaS.
Система защиты Wandera оснащена интеллектуальным механизмом обнаружения угроз под названием MI:RIAM. Он ежедневно получает информацию от 425 миллионов мобильных датчиков, что обеспечивает защиту от самого широкого спектра известных атак.
5. Okta
Okta предлагает пользователям модель безопасности с нулевым доверием, которая охватывает широкий спектр услуг, включая защиту приложений, серверов и API; унифицированный и безопасный доступ пользователей к локальным и облачным приложениям; адаптивную, контекстную, многофакторную аутентификацию и автоматическое отключение для снижения рисков, связанных с зараженными учетными записями.
Универсальная служба каталогов Okta предоставляет единую консолидированную роль каждому пользователю в организации. Благодаря интеграции групп пользователей с AD и LDAP, а также подключению к системам управления персоналом, приложениям SaaS и сторонним поставщикам идентификации личности, универсальный каталог Okta объединяет всех юзеров, будь то сотрудники компании, партнеры, подрядчики или клиенты.
Okta имеет свою службу защиты API. Управление доступом к API от Okta сокращает время разработки и применения политик безопасности на основе XML до нескольких минут, облегчая также их внедрение и интеграцию. Механизм создания политик безопасности от Okta дает возможность внедрять лучшие практики в области API. Они легко интегрируются с системами идентификации, такими как OAuth. Политики авторизации API создаются на основе приложений, контекста пользователей и их членства в группах, чтобы гарантировать, что только подходящие юзеры смогут получить доступ к определенному API.
Okta позволяет избежать блокировки поставщиков, предоставляя организациям свободу выбора из более чем 7000 готовых интеграций с облачными и локальными системами.
6. CrowdStrike Falcon
Сетевое решение с нулевым доверием CrowdStrike Falcon Identity Protection быстро пресекает нарушения, связанные со скомпрометированными удостоверениями, защищая всех пользователей и приложения в организации.
Falcon Identity Protection ставит целью снижение затрат и рисков и повышение рентабельности используемых инструментов за счет уменьшения требований к инженерным ресурсам и устранения избыточных процессов безопасности.
Унифицированный контроль всех удостоверений позволяет легко реализовать стратегии условного доступа и адаптивной аутентификации, а также обеспечивает лучший пользовательский опыт и охват многофакторной аутентификации (MFA) даже для устаревших систем.
Решение для удаленного доступа от CrowdStrike обеспечивает полную видимость действий, связанных с аутентификацией всех учетных записей и конечных точек, предоставляя пользователю данные о местоположении, источнике/месте назначения, типе входа. В свою очередь, сервис также защищает сеть от внутренних угроз, таких как устаревшие привилегированные учетные записи, опасное поведение и учетные данные, скомпрометированные атаками бокового перемещения.
Благодаря интеграции с существующими решениями безопасности развертывание системы защиты личных данных от Falcon осуществляется в минимальные сроки и без особых проблем. В дополнение к прямой интеграции с решениями для обеспечения безопасности критически важных активов, таких как CyberArk и Axonius, CrowdStrike предлагает высокопроизводительные API, которые позволяют компаниям быть совместимыми практически с любой системой
ЧИТАТЬ ВСЕ СТАТЬИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
